資源描述:
《組策略應(yīng)用windows server 2003精通》由會員上傳分享,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、組策略應(yīng)用WINDOWSSERVER2003精通目前大部分的公司都去購買MS的OS產(chǎn)品,剛推出不久的VISTA,以及即將面視的WINDOWSSERVER2008,大家都已習(xí)慣了WINS的操作界面,不過在企業(yè)當(dāng)中看中的是MS(microsoft)的AD{活動目錄ActiveDirectory}的應(yīng)用,而在AD中,能起到關(guān)鍵作用的就是"組策略",利用組策略管理域中的計算機(jī)和用戶工作環(huán)境,實現(xiàn)軟件分發(fā)等一系列功能,快速便捷的幫助管理員完成煩瑣的工作.但要了解組策略的使用,不是了解它的具體有哪些選項,而是要掌握它的應(yīng)用規(guī)則!那么我們開始學(xué)習(xí)組策略吧:
2、1.理解組策略作用:組策略又稱GroupPolicy??????[][]群組,政策策略組策略可以管理計算機(jī)和用戶組策略可以管理用戶的工作環(huán)境、登錄注銷時執(zhí)行的腳本、文件夾重定向、軟件安裝等使用組策略可以:a)對域設(shè)置組策略影響整個域的工作環(huán)境,對OU設(shè)置組策略影響本OU(如果把AD比作一個公司的話,那么每個OU就是一個相對獨立的部門。)下的工作環(huán)境b)降低布置用戶和計算機(jī)環(huán)境的總費用???因為只須設(shè)置一次,相應(yīng)的用戶或計算機(jī)即可全部使用規(guī)定的設(shè)置???減少用戶不正確配置環(huán)境的可能性c)推行公司使用計算機(jī)規(guī)范???桌面環(huán)境規(guī)范???安全策略總
3、結(jié):a)集中化管理b)管理用戶環(huán)境c)降低管理用戶的開銷d)強(qiáng)制執(zhí)行企業(yè)策略總之組策略給企業(yè)和管理員帶了高效率,地成本.原來做同樣的工作需要10個管理員要忙10天都不能完成的事情,如果使用組策略1個管理員在一天的工作日就把事情全搞定,而且還有時間做下來喝咖啡.聽起來好像不太可能,而事實得到了證明,但那你需要掌握組策略的應(yīng)用規(guī)則.?2.組策略的結(jié)構(gòu)組策略的具體設(shè)置數(shù)據(jù)保存在GPO中(grouppolicyobject組策略對象)創(chuàng)建完AD后系統(tǒng)默認(rèn)的2個GPO:默認(rèn)域策略和默認(rèn)域控制器策略GPO所鏈接的對象:S(站點)D(域)OU(組織單位),
4、當(dāng)然也可以應(yīng)用在"本地"GPO控制的對象:SDOU中的計算機(jī)和用戶?GPO的組件存儲在2個位置:GPC(組策略容器)與GPT(組策略模板)GPC:GPC是包含GPO屬性和版本信息的活動目錄對象GPT:GPT在域控制器的共享系統(tǒng)卷(SYSVOL)中,是一種文件夾層次結(jié)構(gòu)?而且組策略更改后不是立即生效,需要經(jīng)過一個刷新時間:?我們剛才說了組策略應(yīng)用的對象是計算機(jī)帳號和用戶帳號,那么打開組策略編輯器可以看到:在此我們就來講解組策略的應(yīng)用規(guī)則,也就是使用方法:3.理解組策略應(yīng)用順序:站點-域-OU-子OU,當(dāng)然在同一級容器也可以創(chuàng)建多個GPO,如下圖
5、所示:4.掌握組策略繼承在不同層次的容器上設(shè)置GPO或在同一層次的容器上設(shè)置了多個GPO,只要策略之間無沖突,那么所有策略都會做累加.還有上層容器做了GPO,那么下層容器會繼承上層容器的策略.?5.阻止繼承操作剛才說到下層容器會繼承上層容器的策略,那么下層容器也可以阻止上層容器的策略,那么上層容器的策略就不會繼承到下層了.方法是只需要在下層容器設(shè)置"阻止繼承"即可:6.掌握組策略強(qiáng)制生效下層容器也可以阻止上層容器的策略,那么反過來上級容器也可以把策略強(qiáng)制給下級容器,那么不管下層容器有沒有選擇"阻止繼承",都不生效,上層容器的策略都會繼承下來,
6、所以總結(jié)就是上層容器選擇了"強(qiáng)制",而下層容器同時選擇了"阻止',兩個都存在,那么"強(qiáng)制"優(yōu)先級高,方法只需要在上層容器設(shè)置"強(qiáng)制"即可:??7.剛才我們知識談了策略沒有沖突的時候,如果有沖突了聽誰的呢?那么就請大家切記以下幾點:1.如果同一個容器的計算機(jī)策略和用戶策略都設(shè)置了,但這2個的策略之間相互沖突,并且這個容器下的用戶帳戶恰好登錄了這臺計算機(jī),那么計算機(jī)策略和用戶策略同時都要生效,這時計算機(jī)策略覆蓋用戶策略!2.不同層次的策略產(chǎn)生沖突時,子容器上的GPO優(yōu)先級高!3.同一個容器上多個GPO產(chǎn)生沖突時,處于GPO列表最高位置的GPO優(yōu)先
7、級最高!總體原則:默認(rèn)情況下后執(zhí)行的優(yōu)先級高。如果上層做強(qiáng)制,下層做阻止,并且上下有沖突,那么強(qiáng)制優(yōu)先級最高!?8.篩選組策略設(shè)置?a)GPO都是應(yīng)用于容器下的所有的計算機(jī)和用戶,但在實際中會有這樣的需求,例如學(xué)術(shù)部的所有普通用戶都要受GPO的約束,而經(jīng)理不受此約束,這個功能靠篩選來實現(xiàn),篩選可以實現(xiàn)阻止一個GPO應(yīng)用于容器內(nèi)部的特定計算機(jī)和用戶。b)容器中計算機(jī)和用戶之所以受到GPO的影響,是因為他們對GPO擁有讀取和應(yīng)用組策略的權(quán)限。如果用戶或計算機(jī)帳戶沒有讀取和應(yīng)用組策略的權(quán)限,組策略將拒絕執(zhí)行。篩選可以阻止一個GPO應(yīng)用于容器內(nèi)的特定
8、計算機(jī)和用戶,設(shè)置讀取和應(yīng)用組策略的權(quán)限?9.掌握軟件分發(fā)方式:指派與發(fā)布???分發(fā)軟件的步驟:???????a)提供一個.msi的程序放在一個共享文件夾??b)利